今日最新:石家庄市原国土局局长顾旗章被判死缓环球时报:规定内地访香港人数,好自私动议科技界政协委员称科研经费存在分配不平衡问题西藏发生肺鼠疫疫情 5人发病1人死亡胡锦涛习近平江泽民等看望或哀悼丁光训王金山同志任安徽省委书记解放日报社长尹明华:传媒转型的重要性虚假诉讼规避“摇号购车”聘任制公务员“无一人被解聘”说明了什么袁厉害之子向警方提出见母亲被拒美国拟建议拒绝中国移动入美市场称有间谍嫌疑石原回应中国海监船巡航钓鱼岛:中国是不是疯了看看临时工待遇湘江长沙综合枢纽工程将截流 航道部分时段禁航环球时报:毛泽东的功绩和领袖人格都打不倒统战工作会议65年来首次升格:不是一般的重要社科院专家:日本对琉球群岛主权尚需商榷
  • WAP手机版 保存到桌面加入收藏设为首页
新闻资讯

高危预警:Wannacry比特币勒索病毒预防方法

时间:2017-05-13 14:18:26   作者:网钛科技   来源:安全狗   阅读:1795   评论:0
内容摘要:2017年5月12日晚间,国内多家媒体曝出,受“方程式工具包”影响,国内大量pc遭遇到勒索软件感染,由于教育网未对445端口进行屏蔽,导致其影响较为严重。据悉,相关的工具和自动配置生成勒索软件的平台已经在Tor网络,除了感染个人PC电脑,也发现不少服务器系统被感染的情况。事件背景......

2017年5月12日晚间,国内多家媒体曝出,受“方程式工具包”影响,国内大量pc遭遇到勒索软件感染,由于教育网未对445端口进行屏蔽,导致其影响较为严重。据悉,相关的工具和自动配置生成勒索软件的平台已经在Tor网络,除了感染个人PC电脑,也发现不少服务器系统被感染的情况

 

事件背景

据报道,周五晚20点左右,国内部分高校学生反映电脑被病毒攻击,文档被加密。攻击者称需支付比特币解锁。病毒是全国性的,疑似通过校园网传播,十分迅速。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区。


另据BBC报道,英国多家医院同样受到勒索软件攻击,攻击者向每家医院索要300比特币(接近400万人民币)的赎金,否则将删除所有资料。


截至今晨,全球74个国家的7万多台电脑遭到感染。

 

事件复盘

该勒索软件是一个名为“wannacry”的新型勒索软件。目前无法解密受到该类型的勒索软件感然的文件。该勒索软件利用了基于445端口传播扩散的SMB漏洞MS17-010.攻击者扫描全网开放的445端口,再利用自动化攻击脚本生成恶意文件感染主机。


当系统遭受攻击后,会弹出索要赎金的对话框

高危预警:Wannacry比特币勒索病毒预防方法

 

同时系统中的图片,文档,压缩包,音频,视频,可执行称呼都被勒索软件以AES+RSA的加密算法加密。加密文件内容以“WANACRY!”开头,文件后缀名统一改成“.WNCRY”。

高危预警:Wannacry比特币勒索病毒预防方法

 

修复方案

针对此次蠕虫病毒攻击传播勒索恶意事件,安全狗紧急推出应对措施及风险应对方案

安装安全狗服务器安全相关产品并使用安全狗云安全服务可以抵御该安全风险,官网地址:http://www.safedog.cn/


服务器应急修复方案


1.针对NSA泄露的SMB漏洞相关修复方法

漏洞概述


 

高危预警:Wannacry比特币勒索病毒预防方法

 

SMB漏洞说明

高危预警:Wannacry比特币勒索病毒预防方法

 

漏洞修复方案

高危预警:Wannacry比特币勒索病毒预防方法

 

 

2.针对NSA泄露的SMB漏洞在不同系统上的相关修复方法

漏洞概述

高危预警:Wannacry比特币勒索病毒预防方法

 

修复方法

安全狗服云用户可以在服云界面上针对服务器安全防护进行安全策略规则设置,用户可针对某个端口号进行策略设置,且对某部分IP做例外处理,并设置生效时间期限

( 【服务器安全防护】-【网络防火墙】-【安全策略】-【增加规则】 ),如下图所示

高危预警:Wannacry比特币勒索病毒预防方法

 

高危预警:Wannacry比特币勒索病毒预防方法

 

3.针对NSA泄露RDP服务的远程漏洞利用工具,针对Windows Server 2003 and Windows XP 开放了3389服务的计算机漏洞相关修复方法

漏洞概述

高危预警:Wannacry比特币勒索病毒预防方法

 

漏洞修复方法

安全狗服云用户可在服云端上根据需求配置远程登录保护规则,

(【服务器安全防护】-【系统防火墙】-【系统登录保护】-【白名单访问控制】-【远程登录保护规则设置】)如下图所示

高危预警:Wannacry比特币勒索病毒预防方法

 

4.针对NSA泄露的IIS6.0远程漏洞利用漏洞相关修复方法

漏洞概述

高危预警:Wannacry比特币勒索病毒预防方法

漏洞说明

3月28日曝出iis6.0远程代码执行漏洞的相关处理,安全狗可拦截,具体如下:

漏洞描述:微软方面也已经确认了该漏洞:Windows Server 2003R2版本IIS6.0的WebDAV服务中的ScStoragePathFromUrl函数存在缓存区溢出漏洞,由于开启WebDAV服务就存在该漏洞,所以对于目前的IIS 6.0用户而言,可用的变通方案就是关闭WebDAV服务。

漏洞编号:CVE-2017-7269

影响版本:Windows 2003/IIS6.0

攻击向量:修改过的PROPFIND数据


修复方法

网站安全狗默认规则即可拦截并处理此漏洞

高危预警:Wannacry比特币勒索病毒预防方法

 

本地检测IIS 6.0 WebDAV是否开启方法

打开“IIS管理器”(Internet Information Services) Manager

---->“Web拓展服务”(Web service Extensions);

在右侧边栏找到“WebDAV”;

若“状态”(status)值为: “允许”(Allowed),则表明WebDAV处于开启状态

如下图:

高危预警:Wannacry比特币勒索病毒预防方法

 

个人PC修复方案


1.Win7、Win8、Win10的处理流程

打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙

高危预警:Wannacry比特币勒索病毒预防方法

 

选择启动防火墙,并点击确定

高危预警:Wannacry比特币勒索病毒预防方法

 

点击高级设置

高危预警:Wannacry比特币勒索病毒预防方法

 

点击入站规则,新建规则

高危预警:Wannacry比特币勒索病毒预防方法

 

选择端口,下一步

高危预警:Wannacry比特币勒索病毒预防方法

 

特定本地端口,输入445,下一步

高危预警:Wannacry比特币勒索病毒预防方法

 

选择阻止连接,下一步

高危预警:Wannacry比特币勒索病毒预防方法

 

配置文件,全选,下一步

 高危预警:Wannacry比特币勒索病毒预防方法

 

名称,可以任意输入,完成即可。

高危预警:Wannacry比特币勒索病毒预防方法

 

 

2.XP系统的处理流程


依次打开控制面板,安全中心,Windows防火墙,选择启用

高危预警:Wannacry比特币勒索病毒预防方法

 

 

点击开始,运行,输入cmd,确定执行下面三条命令


net  stop rdr

net  stop srv

net  stop netbt


由于微软已经不再为XP系统提供系统更新,建议用户尽快升级到高版本系统。



此次勒索软件事件特别针对高校产生了极大影响,可能会在更广阔的终端消费者群体内爆发,后果很恶劣。


网钛科技提醒广大用户,一方面要提高安全防范意识做好数据备份策略,另一方面要采用更加积极主动的工具制定事前、事中、事后的安全策略,才能应对隐藏在网络世界中的不法分子。

 


相关评论
本栏最新更新
    本栏推荐
      阅读排行
        王石川:浙大副校长落马为何令人唏嘘?
        王蒙徽连任广东省汕尾市长
        灾后重建将对少数民族特色建筑物实施原址保护
        监察部长:刘志军案进入司法程序还需时间
        综艺电影的争议不妨交给票房去评判
        社科院专家:日本对琉球群岛主权尚需商榷
        湖南高校职称评委被指开房收钱 教师称系潜规则
        申江服务导报社总编辑徐锦江寄语
        舒圣祥:塌桥均无质量问题才是真正的问题
        美防长:反对削弱日本在钓鱼岛管治的单边行动
        王平:台湾学运退场,两岸关系如何解套
        甘肃漳县称建“遮羞墙”旨在排除交通安全隐患
        王聃:尸检报告远非瓜农死亡事件的终点
        视频:港律师批扁“终统”暴露其“台独”面目
        益多:看达赖如何击碎美国政府的辩解
        胡锦涛向晋升上将军官颁发命令状
        现代汉语词典第6版收录被代表雷人等新词
        瓜农之死,真相不能退场,问责拒绝勾兑
        王富玉当选贵州省政协主席
        王钟的:别让“邻避运动”变成“邻避冲突”